Ga naar hoofdinhoud

Eén bericht getagd met "bug bounty"

Bekijk alle tags

Introductie van Beancount's Beloningsprogramma voor Ontwikkelaars

· 4 minuten leestijd
Mike Thrift
Mike Thrift
Marketing Manager

Beancount.io kondigt met enthousiasme het gloednieuwe beloningsprogramma voor ontwikkelaars in onze gemeenschap aan! Een Security Bug Bounty-programma is een open aanbod aan externe individuen om compensatie te ontvangen voor het melden van beancount.io en open-source Beancount mobile bugs gerelateerd aan de beveiliging van de kernfunctionaliteit.

Geen enkele technologie is perfect, en wij geloven dat samenwerken met ontwikkelaars, ingenieurs en technologen over de hele wereld cruciaal is bij het identificeren van zwakke punten in ons project tijdens de ontwikkeling. Als u denkt dat u een beveiligingsprobleem in ons product of onze dienst hebt gevonden, moedigen wij u aan ons hiervan op de hoogte te stellen. Wij werken graag met u samen om het probleem snel op te lossen.

Campagneperiode

2020-10-13-security-bug-bounty

2020-10-15 17:00 PST tot 2020-11-30 17:00 PST

Bereik

De volgende onderdelen van Beancount zijn opgenomen in Fase 1 van de Bug Bounty Campagne:

  1. beancount.io/ledger : Uw persoonlijke financiële manager.
  2. open-source Beancount mobile

Stappen om deel te nemen en bugs te melden

  • Als het NIET gerelateerd is aan persoonlijk identificeerbare informatie (PII) en exacte grootboekgegevens. Geef informatie over bugs via de GitHub ISSUE-aanvraag in https://github.com/puncsky/beancount-mobile/issues/:
    • Asset. Kies de repository waartoe de bug behoort en maak daarin een "New Issue" aan.
    • Ernst. Kies het kwetsbaarheidsniveau volgens "Kwalificerende Kwetsbaarheden".
    • Samenvatting — Voeg een samenvatting van de bug toe.
    • Beschrijving — Eventuele aanvullende details over deze bug.
    • Stappen — Stappen om te reproduceren.
    • Ondersteunend Materiaal/Referenties — Broncode om te repliceren, vermeld eventueel aanvullend materiaal (bijv. screenshots, logs, etc.).
    • Impact — Welke impact heeft de gevonden bug, wat zou een aanvaller kunnen bereiken?
    • Uw naam, land en Telegram-ID voor contact.
  • Als het gerelateerd is aan PII en exacte grootboekgegevens, neem dan contact op met puncsky op Telegram en stuur de bovenstaande informatie.
  • Het Beancount.io-team zal alle bugs beoordelen en u zo snel mogelijk feedback geven via de opmerkingen op de pagina met een specifieke bug of persoonlijk via Telegram als het gerelateerd is aan PII en exacte grootboekgegevens.
  • De uitkering van beloningen zal plaatsvinden in de vorm van een Fysiek Cadeau, Cadeaubon of USDT-equivalent nadat de campagne rond 1 december 2020 PST is afgelopen.

Kwalificerende kwetsbaarheden

Om in aanmerking te komen voor de bounty, moet de beveiligingsbug origineel en eerder ongemeld zijn.

Alleen de volgende ontwerp- of implementatieproblemen die de stabiliteit of beveiliging van Beancount.io aanzienlijk beïnvloeden, komen in aanmerking voor de beloning. Veelvoorkomende voorbeelden zijn:

  • Lek van PII en grootboekgegevens terwijl de hostmachine niet gecompromitteerd is.
  • Een speciale actie die de hele website of mobiele app doet vastlopen of crashen.
  • Een gebruiker beïnvloedt een andere gebruiker zonder voorafgaande toegangsverlening.

Voor scenario's die niet binnen een van de bovenstaande categorieën vallen, waarderen we nog steeds meldingen die ons helpen onze infrastructuur en onze gebruikers te beveiligen en belonen we dergelijke meldingen op individuele basis.

Kwetsbaarheden buiten bereik

Houd bij het melden van kwetsbaarheden rekening met het aanvalsscenario, de exploitabiliteit en de beveiligingsimpact van de bug. De volgende problemen worden als buiten bereik beschouwd, en we accepteren GEEN van de volgende soorten aanvallen:

  • Denial-of-service-aanvallen
  • Phishing-aanvallen
  • Social engineering-aanvallen
  • Reflected file download
  • Openbaarmaking van softwareversie
  • Problemen die directe fysieke toegang vereisen
  • Problemen die buitengewoon onwaarschijnlijke gebruikersinteractie vereisen
  • Fouten die verouderde browsers en plug-ins beïnvloeden
  • Openbaar toegankelijke inlogpanelen
  • CSV-injectie
  • E-mailenumeratie / account oracles
  • CSP-zwakheden
  • E-mailspoofing
  • Technieken waarmee u profielfoto's van gebruikers kunt bekijken (deze worden als openbaar beschouwd)

Beloningen

De prijs voor de meest kritieke bug die PII en grootboekgegevens blootlegt is een AirPods Pro (in de VS) of USDT-equivalent.

De prijs voor een beveiligingsbug is een Amazon Cadeaubon van $20 of USDT-equivalent.

Wij zijn een klein team met een beperkt budget en kunnen slechts het volgende uitkeren:

  • 1 AirPods Pro voor iedereen.
  • 10 beloningen van $20 per maand, tot 3 maanden. Als het werkelijke aantal gevallen dat bedrag in die maand overschrijdt, sturen we de resterende beloning in de volgende maand. ($600 in totaal voor deze campagne)

Vragen?

Stel ze ons via https://t.me/beancount

Over Beancount.io

Beancount.io is een krachtig, open-source dubbel boekhoudsysteem dat wordt vertrouwd door financiële professionals, ontwikkelaars en liefhebbers van persoonlijke financiën. Ontworpen voor duidelijkheid, uitbreidbaarheid en precisie, helpt Beancount gebruikers complexe financiële gegevens te beheren met platte-tekst boekhouding, robuuste validatie en naadloze integraties. Sinds de oprichting heeft het gebruikers in staat gesteld om volledige controle over hun financiën te krijgen, rapportage te automatiseren en transparante, controleerbare administraties bij te houden - waardoor het een favoriet is onder degenen die eenvoud zonder compromissen waarderen.

Beancount.io logo